Создание IdP
IAM поддерживает федерацию удостоверений по протоколу SAML 2.0, поэтому корпоративный IdP должен также поддерживать этот протокол.
Security Assertion Markup Language (SAML) — это открытый стандарт на основе XML для обмена данными аутентификации и авторизации между доменами безопасности.
Примечание
Перед добавлением IdP в IAM установите отношения доверия между корпоративным поставщиком удостоверений и облачной платформой.
На этой странице
Создание и настройка IdP в IAM
Войдите в консоль управления Advanced:
Чтобы открыть список сервисов, нажмите Service List.
Перейдите в раздел
.В панели слева выберите Identity Providers и нажмите Create Identity Provider.
Задайте название Name, описание Description и выберите статус Status IdP.
Сохраните изменения — нажмите OK. После этого IdP появится в списке провайдеров.
Нажмите Modify в строке с добавленным IdP.
В блоке Metadata Configuration настройте метаданные одним из способов: загрузкой файла или вручную.
Загрузка файла метаданных. Подходит, если размер файла с метаданными не превышает 500KБ.
Нажмите … рядом с кнопкой Upload и выберите файл с метаданными корпоративного IdP.
Нажмите Upload. Откроется диалоговое окно с метаданными.
Нажмите OK. - Если появится сообщение «The uploaded file contains multiple IdPs. Select an IdP as needed», выберите нужный IdP из списка Entity ID. - Если появится сообщение о пустом значении «Entity ID» в файле метаданных или истекшем сроке действия сертификата подписи, убедитесь, что загружаете корректный файл с метаданными.
Ручная настройка метаданных.
Нажмите Manually configure.
Задайте протокол, сертификат и другие параметры.
Описание
Параметр
Entity ID
Уникальный идентификатор провайдера удостоверений. Если в файле метаданных несколько провайдеров удостоверений, укажите идентификатор выбранного IdP.
Protocol
SAML-протокол используется для федерации удостоверений между корпоративным IdP и облачной платформой. IAM поддерживает только протокол SAML 2.0.
NameIdFormat
Формат имени пользователя, поддерживаемый провайдером удостоверений. Имена используются для обмена данными между IdP и федеративными пользователями.
Signing Certificate
Сертификат публичного ключа проверяется при аутентификации федеративного пользователя для обеспечения подлинности соединения. В целях безопасности рекомендуются ключи длиной не менее 2048 бит.
SingleSignOnService
Параметр определяет, как SAML-запросы отправляются во время SSO-логина. Должен поддерживать HTTP-редирект или HTTP POST.
SingleLogoutService
Адрес, на который перенаправляется федеративный пользователь после завершения сессии. Параметр должен поддерживать HTTP-редирект или HTTP POST.
Нажмите OK.
Сохраните изменения — нажмите OK.
Проверка настроек
Нажмите View в строке с нужным IdP на странице Identity Providers.
Нажмите Copy в строке Login Link и откройте скопированную ссылку в браузере.
Проверьте, что корпоративный IdP-сервер показывает страницу входа.
Введите логин и пароль и убедитесь, что вы можете подключиться к облачной платформе.
Примечание
Если перенаправление не срабатывает, убедитесь, что корпоративные метаданные и IdP-сервер настроены корректно.
См.также
Создание правил доступа к облачным ресурсам.
Настройка SSO-входа в корпоративную систему управления.
для Dev & Test